運行時應用自我保護技術有什么安全挑戰

運行時應用自我保護技術有以下安全挑戰：

• 真實的攻擊難以識別。每個應用程序有其自己獨特的漏洞，并且只能被特殊的攻擊所利用。對于某個應用來說完全無害的HTTP請求，對于另一個應用而言可能會造成毀滅性打擊。同時，“在線（onthewire）”的數據可能與它在應用中所顯示的不同（被稱為“阻抗不匹配”問題）。

• 現代應用程序（特別是API）使用復雜的格式，如JSON、XML、序列化對象和自定義二進制格式。這些請求使用除了HTTP之外的各種協議，包括WebSocket，它是由瀏覽器中的JavaScript、富客戶端、移動應用和許多其他源產生的。

• 傳統的技術防御沒有效果。WAF通過在HTTP流量到達應用服務器之前對其進行分析，完全獨立于應用而運作。盡管絕大部分的大型組織都有WAF，但其中許多企業并沒有專業的團隊對其進行必要的調整和維護，使其只處于“日志模式”。

• 軟件正在快速發展，容器、IaaS、PaaS、虛擬機和彈性環境都在經歷爆炸性增長。這些技術使得應用程序和API可以快速部署，但同時會將代碼暴露給新的漏洞。DevOps也迅速加快了整合、部署和交付的速度，因此確保在快速發展階段的軟件安全的過程變得更加復雜。

• 技術飛速發展，導致應用程序和軟件面臨的安全問題越來越多，單純靠某一種技術已經無法將其解決，無論使用哪種方法，最終的結果都是將Web應用防火墻與應用程序的運行時環境綁定在一起。所以技術飛速發展也給RASP技術帶來巨大挑戰。

回答所涉及的環境：聯想天逸510S、Windows 10。